Malware que rouba cartão de crédito se esconde em ícones de compartilhamento de mídia social

 Malware que rouba cartão de crédito se esconde em ícones de compartilhamento de mídia social

O malware recém-descoberto de skimming na web é capaz de se esconder à vista de todos para injetar scripts de skimmer de cartão de pagamento em lojas online comprometidas.

Os criadores do malware usam cargas maliciosas ocultas como botões de mídia social que imitam plataformas de alto perfil, como Facebook, Twitter e Instagram.

Os skimmers de cartão de crédito são scripts baseados em JavaScript injetados por grupos de cibercrimes Magecart nas páginas de checkout de sites de comércio eletrônico comprometidos.

Depois de carregados nas lojas de destino, os scripts coletam automaticamente as informações pessoais e de pagamento enviadas pelos clientes e as exfilam para os servidores sob o controle dos atores do Magecart.

Nova tática de evasão de scanner de segurança

Este novo malware foi descoberto por pesquisadores da empresa holandesa de segurança cibernética Sansec, que se concentra na defesa de sites de comércio eletrônico contra ataques de skimming digital (também conhecido como Magecart).

O malware skimmer de pagamento usa seu truque de prestidigitação com a ajuda de uma estrutura de carga dupla onde o código-fonte do script do skimmer que rouba os cartões de crédito dos clientes ficará oculto em um ícone de compartilhamento social carregado como um elemento HTML 'svg' com um elemento 'path' como um contêiner.

A sintaxe para ocultar o código-fonte do skimmer como um botão de mídia social imita perfeitamente um elemento 'svg' nomeado usando nomes de plataforma de mídia social (por exemplo, facebook_full, twitter_full, instagram_full, youtube_full, pinterest_full e google_full).

Carga útil maliciosa
Carga útil maliciosa ( Sansec )

Um decodificador separado implantado separadamente em algum lugar no servidor do site de comércio eletrônico é usado para extrair e executar o código do ladrão de cartão de crédito oculto.

Essa tática aumenta as chances de evitar a detecção, mesmo se um dos dois componentes do malware for encontrado, uma vez que o carregador de malware não está necessariamente armazenado no mesmo local que a carga útil do skimmer e seu verdadeiro propósito pode evitar uma análise superficial.

Mesmo que esta não seja a primeira vez que os agentes de ameaças usaram skimmers ocultos em imagens aparentemente com a ajuda da esteganografia , este malware é o primeiro que usa "uma imagem perfeitamente válida".

"O resultado é que os verificadores de segurança não podem mais encontrar malware apenas testando a sintaxe válida", explicou Sansec .

Decodificador de malware
Decodificador de malware ( Sansec )

O teste de verão é executado

Malware semelhante usando essa técnica de carregamento inovadora foi detectado pela primeira vez em junho de 2020.

"Este malware não era tão sofisticado e só foi detectado em 9 sites em um único dia", disse Sansec.

"Destes 9 sites infectados, apenas 1 tinha malware funcional. Todos os 8 sites restantes perderam um dos dois componentes, tornando o malware inútil."

Essas amostras de skimmer de pagamento parcialmente funcionais podem ter sido usadas como testes para a versão totalmente funcional descoberta em meados de setembro, disse Sansec.